你有沒(méi)有想過(guò)高級(jí)持續(xù)性攻擊（APT）者究竟為什么如此難以檢測(cè)到？因?yàn)檫@些高級(jí)持續(xù)性威脅(APT)攻擊者使用的是目標(biāo)主機(jī)上現(xiàn)有的工具，通過(guò)常用網(wǎng)絡(luò)端口，并將他們的命令控制(C&C)通信隱藏在HTML注釋中。

“他們?cè)噲D瞞天過(guò)海！”對(duì)這些攻擊進(jìn)行取證調(diào)查研究的HBGary首席科學(xué)家Shawn Bracken表示，“應(yīng)該注意到他們對(duì)目標(biāo)企業(yè)使用的行為阻斷和分析非常熟悉。”

這些攻擊者沒(méi)有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)，而是試圖融入系統(tǒng)。“他們安裝的工具都是專(zhuān)門(mén)不會(huì)與入侵防御系統(tǒng)發(fā)生沖突的工具，并且他們使用的是合法的已發(fā)布的API，試圖不引起任何懷疑。”

這意味著使用目標(biāo)操作系統(tǒng)中存在的真正的系統(tǒng)管理工具，并且越來(lái)越多地使用HTML用于控制命令通信。至少有三個(gè)高級(jí)持續(xù)性攻擊團(tuán)隊(duì)，包括Operation Shady RAT campaign背后的攻擊者，都是用了這樣的技術(shù)來(lái)掩蓋他們的通信。“但你不能阻止所有包含注釋的網(wǎng)站，”Bracken表示。

戴爾安全工作反威脅部門(mén)的惡意軟件研究主管Joe Stewart表示，在網(wǎng)頁(yè)使用加密HTML注釋在一段時(shí)間內(nèi)已經(jīng)成為高級(jí)持續(xù)攻擊的一部分。“這個(gè)技術(shù)已經(jīng)被用了好幾年了，我相信，那些跟蹤高級(jí)持續(xù)攻擊活動(dòng)的安全研究人員早就意識(shí)到這一點(diǎn)，”Stewart表示，“知道HTML注釋可能被利用可以幫助檢測(cè)高級(jí)持續(xù)攻擊流量，然而，只有特定惡意軟件會(huì)使用特定HTML注釋?zhuān)渌加懈髯圆煌母袷?，因此很難察覺(jué)。”

它的工作原理是這樣的：攻擊者利用互聯(lián)網(wǎng)某個(gè)地方的web服務(wù)器或者社交網(wǎng)絡(luò)站點(diǎn)，例如博客網(wǎng)站。然后攻擊者將他的編碼指令作為隱藏注釋藏在這個(gè)網(wǎng)站中，而RAT會(huì)定期檢查這個(gè)頁(yè)面。

“我們已經(jīng)看到了兩種情況：攻擊者將使用SQL諸如攻擊滲透到受感染的web服務(wù)器，然后將他的注釋隱藏在這個(gè)服務(wù)器中，”HBGary首席執(zhí)行官Greg Hoglund表示。

RAT有一個(gè)硬編碼DNS名稱(chēng)來(lái)連接，這個(gè)名稱(chēng)隨后會(huì)被修改為與被感染網(wǎng)站相匹配的IP地址，“所有RAT進(jìn)行出站連接，并獲取指令，”他表示。

第二種情況是，攻擊者使用合法的社交網(wǎng)絡(luò)媒體或者應(yīng)用程序網(wǎng)站，例如Google BlogSpot來(lái)將他們隱藏指令藏在HTML注釋中，Hoglund表示。這些指令通常是配置指令，例如指示一臺(tái)機(jī)器連接到受害者網(wǎng)絡(luò)特定機(jī)器以及打開(kāi)一個(gè)TCP連接。這就為攻擊者提供了到那臺(tái)機(jī)器的互動(dòng)連接，“并且他獲取了命令行訪(fǎng)問(wèn)權(quán)限，”Hoglund說(shuō)到。

即使這些遠(yuǎn)程訪(fǎng)問(wèn)工具沒(méi)有故意隱藏起來(lái)：“它們完全不會(huì)被察覺(jué)，看起來(lái)就像是正常軟件。”

因此，如果你可以找到HTML注釋?zhuān)憔涂梢哉页鲈谀呐_(tái)機(jī)器上安裝了RAT，但是也有可能在網(wǎng)絡(luò)種存在大量RAT程序。